Evoluzione dei SOC e dei CERT per una risposta efficace alle crisi cyber

Evoluzione dei SOC e dei CERT per una risposta efficace alle crisi cyber

Evoluzione dei SOC e dei CERT per una risposta efficace alle crisi cyber

Intervista a Giampiero Nanni – Responsabile Government Affairs in Symantec EMEA.

La security intelligence, gestita tramite security operation center (SOC) interno oppure esterno all’organizzazione, è riconosciuta sempre più come un elemento centrale nel disegno della strategia di sicurezza. Sapere dove risiedono e come evolvono i rischi è un elemento centrale del controllo. Di evoluzione dei servizi di SOC e CERT abbiamo parlato con Giampiero Nanni, Responsabile Government Affairs in Symantec EMEA.

“Le aziende devono oggi affrontare una situazione caratterizzata da notevole incertezza, da nuovi modelli di consumo lato utenti, pervasività di collegamenti e di accesso ai dati e alle applicazioni enterprise, oltre che l’intero ecosistema con cui un’organizzazione interagisce. Insomma confini non precisi, e variabili, da tenere sotto osservazione – commenta Giampiero Nanni – A questa frammentazione va aggiunto oggi il tema dell’Internet of Things, una vera bomba ad orologeria, con miliardi di dispositivi lanciati sul mercato con insufficiente, e in molti casi nessuna misura in termini di cybersecurity e privacy, come abbiamo avuto modo di sottolineare rispondendo alla consultazione pubblica lanciata nel 2015 dal Garante italiano per la Privacy. Dalla nostra esperienza su servizi di SOC e di CERT erogati a livello mondiale emerge quali siano gli elementi chiave per una risposta efficace a questi problemi. In sostanza, un mix di tecnologia e capacità delle persone, la prima tesa a proteggere gli asset e le informazioni aziendali anche dagli attacchi più evoluti, come gli Advanced Persistent Threat (APT), le seconde, con gli skill e l’addestramento opportuno, in grado di individuare le anomalie, di “distillare” l’informazione che serve,  di rispondere in modo corretto in caso di incidente, con le procedure più opportune”.

Oggi quando si parla di servizi erogati da SOC si fa riferimento normalmente alla domanda che proviene da grandi organizzazioni, con presenza internazionale ed esigenze complesse di monitoraggio delle infrastrutture ICT. A quali condizioni è preferibile la costituzione al proprio interno di un SOC privato?

“Le aziende spesso ci chiedono tecnologie, ma il SOC è ben di più  – afferma Giampiero Nanni -. Deve essere realizzato avendo in mente che dovrà rispondere a un’esigenza primaria: sapere cosa sta succedendo e prevedere le implicazioni per l’organizzazione. Va impostato nell’ambito di un piano di cybersecurity più ampio, con un’intelligence strutturata per analizzare enormi moli di dati, sulla base di un programma molto mirato alle esigenze dell’organizzazione nel contesto del suo settore di attività. Le attività di osservazione delle minacce devono essere concentrate sugli asset critici e sul contesto operativo specifico, con un grande sforzo di correlazione – per essere in grado di studiare un singolo evento collegandolo a quanto sta avvenendo in altri contesti simili, magari in geografie diverse.”

Quale raccomandazione fate alle aziende perché questi servizi siano il più possibile efficaci?

“Il nostro suggerimento è sempre quello di comunicare le informazioni sugli attacchi più critici, ai livelli più alti del management dell’impresa – aggiunge Nanni – non fermandosi solo al CISO o al CIO ma possibilmente arrivando a CEO e CFO. Spesso infatti le campagne di attacco hanno motivazioni e attori ben precisi: queste informazioni riguardano il business, non solo chi gestisce le infrastrutture e governa i processi. Un CEO deve sapere che la sua organizzazione o la sua infrastruttura critica sono sotto attacco di hacktivist per motivazioni politiche, o che competitor, magari sponsorizzati da Stati, stanno cercando di infiltrarsi per estrarre informazioni critiche”.

Un’ultima domanda sul nuovo Regolamento europeo per la Privacy (GDPR, General Data Protection Regulation), che è stato approvato a inizio anno ed entrerà in vigore dal 2018. Come lo vede: un ulteriore balzello o può essere invece un’opportunità per le imprese italiane?

“Il nuovo Regolamento si pone delle finalità molto alte e nobili, sottolineando l’importanza di sostenere la privacy come diritto fondamentale dell’individuo  – commenta  Giampiero Nanni -. Fino ad oggi c’è stato in molti, troppi casi un approccio disinvolto verso la protezione dei dati personali, è giusto quindi che il legislatore intervenga imponendo livelli di garanzia più elevati. Da un sondaggio effettuato da Symantec nel 2015 in 7 Paesi europei è emerso poi che oggi i consumatori conoscono molto meglio il valore dei propri dati personali, sono magari pronti a cederli in cambio di qualcosa (un servizio, una App) ma conoscono anche i propri diritti, e pretendono quindi che i dati siano gestiti con accortezza e responsabilità. Questo Regolamento armonizza e migliora la Data Governance, e i benefici saranno molteplici. Poter assicurare livelli più elevati di privacy comporta vantaggi sostanziali: si evitano crisi reputazionali e si attraggono più clienti, investitori e partner, che cercano aziende solide con cui collaborare. Come beneficio collaterale importante, possiamo dire che la nuova legislazione spingerà ad elevare la Security Posture complessiva delle  aziende anche per proteggere meglio, ad esempio, la propria Proprietà Intellettuale”.

 

Giampiero Nanni – Responsabile Government Affairs in Symantec EMEA – interverrà sul tema dell’evoluzione dei SOC e dei CERT nel corso del Cybersecurity Summit 2016, organizzato da The Innovation Group il prossimo 5 aprile a Roma.

 

A cura di: Elena Vaciago, The Innovation Group